Découvrez le nouveau botnet AyySSHus qui s’attaque aux routeurs Asus : plus de 9 000 appareils déjà touchés. Grâce à une porte dérobée offrant un accès persistant, les pirates cherchent à construire un immense réseau. Nous vous expliquons les mesures à prendre en cas de cyberattaque sur votre routeur.
Des experts en sécurité ont identifié un nouveau botnet, AyySSHus, qui passe sous le radar. Ce virus a réussi à compromettre plus de 9 000 routeurs Asus. Dans le cadre d’une « campagne d’exploitation » en cours, les pirates ont obtenu un « accès non autorisé et persistant » à ces appareils.
Selon le rapport, tous ces routeurs ont été compromis pour former « un futur botnet », transformant les appareils en routeurs zombies. Le but de ce botnet en expansion reste inconnu. Cependant, un script malveillant a été téléchargé et exécuté sur les routeurs infectés, redirigeant le trafic réseau vers des appareils contrôlés par les pirates.
À lire aussi : Un nouveau botnet prend d’assaut les appareils de vidéosurveillance avec des milliers d’adresses IP malveillantes
Accès persistant aux routeurs Asus compromis
Pour atteindre leurs objectifs, les cybercriminels utilisent des attaques par force brute et exploitent plusieurs vulnérabilités anciennes. Ils ciblent notamment une faille d’injection de commande affectant plusieurs modèles de routeurs Asus, dont le RT-AX55. Cette vulnérabilité permet aux pirates de forcer le routeur à exécuter des commandes non autorisées.
Une fois la porte dérobée installée, les pirates maintiennent un accès persistant au routeur. Même après un redémarrage ou une mise à jour, le contrôle sur l’appareil est conservé, car la porte dérobée est cachée dans la NVRAM (Non-Volatile Random Access Memory), la protégeant des mises à jour.
Selon les experts, les attaques de AyySSHus sont liées à une campagne d’exploitation massive appelée « ViciousTrap ». Cette opération cible également les routeurs Asus et exploite la même faille de sécurité. Les pirates s’en prennent aussi à d’autres appareils, comme les contrôleurs BMC de D-Link, Linksys, QNAP, Araknis Networks, et d’autres routeurs Soho.
À lire aussi : 1 million d’appareils Android ont été piratés par Badbox 2.0, un gigantesque botnet
Comment réagir face à un piratage de votre routeur ?
La bonne nouvelle est qu’Asus a corrigé la faille exploitée par les pirates. Le fabricant a publié un correctif pour tous les modèles ASUS RT-AX55 concernés. Il est vivement conseillé aux utilisateurs de mettre à jour leur routeur dès que possible.
Ensuite, vérifiez si le port TCP 53282 est ouvert. Ce port peut être utilisé pour une connexion SSH, permettant un contrôle à distance de l’appareil. Si vous ne l’avez jamais activé, il se peut que quelqu’un d’autre l’ait fait sans votre accord. Consultez le fichier authorized_keys pour vérifier les clés SSH autorisées. La présence d’une clé inconnue indique un accès non autorisé.
Si vous suspectez que votre routeur a été piraté, il est nécessaire de réaliser une réinitialisation aux paramètres d’usine. L’installation du correctif seule ne suffit pas à éliminer la porte dérobée. Reconfigurez manuellement l’appareil par la suite. Enfin, il est recommandé de bloquer les adresses IP associées au botnet : 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237.
Restez toujours à la pointe avec nous et découvrez pourquoi notre blog est la référence incontournable des amateurs de gadgets et de technologie.